0ktapus Phishing Kit

Cyberkriminelle har formået at bryde over 130 organisationer som en del af en række cyberangreb. De kriminelle operationer begynder med en udbredt og veloplagt phishing-kampagne, der bruger et phishing-kit ved navn '0ktapus.' Ifølge en rapport fra sikkerhedsforskere var trusselsaktørerne i stand til at indsamle næsten 10.000 loginoplysninger på blot et par måneder. Operationen menes at have været aktiv siden mindst marts 2022. Målet med 0ktapus-kampagnen ser ud til at have været tyveri af Okta-identitetsoplysninger og 2FA-koder (tofaktorautorisation). Med de opnåede fortrolige data sigtede de cyberkriminelle efter at udføre efterfølgende operationer, såsom forsyningskædeangreb.

Ifølge rapporten blev 0ktapus phishing-sættet udnyttet mod virksomheder fra flere industrisektorer, herunder finans, krypto, teknologi, rekruttering, telekommunikation og mange flere. Nogle af de målrettede virksomheder er AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy og andre.

Angrebene begynder med lokke-SMS-beskeder, der indeholder et link til en phishing-side. Hjemmesiden minder meget om den legitime Okta-loginside og beder brugerne om at angive deres kontooplysninger og 2FA-koder. Okta er en IDaaS-platform (Identity-as-a-Service), hvilket i bund og grund betyder, at medarbejdere kan bruge en enkelt login-konto og legitimationsoplysninger til at få adgang til alle de softwareaktiver, de har brug for i deres virksomhed. De indtastede legitimationsoplysninger og 2FA-koder blev skrabet af det falske websted og overført til en Telegram-konto kontrolleret af hackerne.

Naturligvis ville kompromittering af Okta-legitimationsoplysningerne for de målrettede medarbejdere give angriberne mulighed for at udføre en bred vifte af uhyggelige handlinger i de krænkede organisationer. Og det gjorde de, idet trusselsaktørerne fik adgang til virksomhedens VPN'er, netværk, interne kundesupportsystemer osv. De indsamlede kundedata blev udnyttet af cyberkriminelle til at udføre forsyningskædeangreb rettet mod Signal og DigitalOceans kunder.

0ktapus phishing-kampagnen har også ført til databrud hos større organisationer, såsom Twilio, Klaviyo, MailChimp og et forsøg på angreb mod Cloudflare. Indtil videre har forskere identificeret 169 unikke phishing-domæner, som trusselsaktørerne skabte som en del af 0ktapus-operationen. De opdigtede sider var designet til at ligne det relevante tema for hver målrettet virksomhed, og ved første øjekast ser det ud til at være de legitime portaler, der bruges af ofrene dagligt. Som en del af angrebet er det lykkedes trusselsaktørerne at indsamle 9.931 legitimationsoplysninger fra de ansatte i 136 virksomheder, 3.129 poster med e-mails og i alt 5.441 poster indeholdende MFA-koder.